Северная Корея набирает учёных со всего мира для оценки своей ядерной программы

Северная Корея набирает учёных со всего мира для оценки своей ядерной программы

Хакеры Kimsuky из тени следят за реакцией мира на деятельность страны.

image

Северокорейская хакерская группа Kimsuky преследует экспертов по делам Северной Кореи и СМИ в рамках кампании по сбору разведывательных данных — даже прибегая к краже информации о подписке для новостных агентств, освещающих дела страны.

Выводы SentinelOne совпадают с предупреждением АНБ о том, что Kimsuky использует социальную инженерию и вредоносное ПО для нападения на аналитические центры, учёных и СМИ. Специалисты SentinelOne обнаружили , что кампания сосредоточена на краже аккаунтов электронной почты, доставке инфостилеров и краже учетных данных пользователей подписки американского новостного издания о Северной Корее NK News (North Korea News).

В ходе кампании хакеры Kimsuky ведут активную переписку по электронной почте и используют поддельные URL-адреса, фишинговые веб-сайты, и заражённые документы Microsoft Office.

Пример электронного письма хакеров Kimsuky (переведено)

Хакеры Kimsuky выдавали себя за издание NK News и вели переписку с экспертами. В частности, злоумышленники выдавали себя за основателя NK News Чада О'Кэрролла и использовали свой домен «nknews[.]pro», который напоминал настоящий сайт новостного агентства.

В первом электронном письме жертв просят просмотреть черновик статьи о ядерном оружии Северной Кореи. Если киберпреступники получают ответ от жертвы, хакеры отправляют URL-адрес документа Google, который перенаправляет жертв на вредоносный веб-сайт, предназначенный для кражи учетных данных для входа в Google.

Также хакеры отправляли вредоносные документы Office, заражённые инфостилером ReconShark, предназначенным для извлечения информации о жертвах, а именно информации об установленных средствах обнаружения и оборудовании. Эти данные будут использованы в последующих целевых атаках группы.

Для кражи аккаунтов с подпиской на NK News злоумышленники распространяли электронные письма, которые заманивают жертв перейти на фишинговый сайт «nknews[.]pro», имитирующий подлинный сайт NK News. Форма входа на сайте предназначена для захвата введенных учетных данных.

Поддельная страница входа в NK News

На прошлой неделе спецслужбы США и Южной Кореи предупредили о кибератаках , которые совершают северокорейские хакеры Kimsuky против аналитических центров, учебных заведений и СМИ, занимающихся вопросами КНДР. Целью Kimsuky является получение незаконного доступа к разведданным и прочей ценной геополитической информации для северокорейского правительства. Группа активна с 2012 года и подчиняется Главному разведывательному управлению КНДР.

В SentinelOne заявили, что эта кампания свидетельствует о растущих усилиях Kimsuky по установлению связи и укреплению доверия со своими целями до начала вредоносных операций. Такой подход подчеркивает приверженность злоумышленников созданию взаимопонимания с жертвами, что потенциально увеличивает вероятность успеха их последующих злонамеренных действий.

Нацеливаясь на высокопоставленных экспертов по делам Северной Кореи и пытаясь украсть учетные данные для подписки на известные новостные и аналитические издания, посвященных Северной Корее, киберпреступники демонстрируют повышенное любопытство к пониманию того, как международное сообщество воспринимает события и военную деятельность Северной Кореи. Разведывательная деятельность северокорейских хакеров, вероятно, является частью более широкой цели по сбору стратегической информации, способствуя процессам принятия решений в Северной Корее.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь